-
Junior Member
- Вес репутации
- 58
Проблема
Здраствуйте. Не знаю где, но сегодня подцепил странную заразу, обоина сменилась на синий фон и надпись "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer"
Также исчезли закладки смена фона в "свойствах экрана"
Установив антивирус, очистив систему от вирусов всё более-менее наладилось. Почитав ваш сайт, вернул нормальную обоину.
но теперь волнуют две вещи:
1) При загрузке Windows проскакивает синий (около полусекунды-секунды)
2) Также при загрузке виндовс выскакивает окно с ошибкой "BN7.tmp - обнаружена ошибка. Инструкция по адресу 0х0000000 .... Память не может быть read"
заметил, что имя файла меняется (то BN3.tmp, то BN6.tmp) как я понял - это вирус. Прошу у вас помощи, заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
деинсталируйте все антивирусы оставте один ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('vb5dmspo.dll','');
QuarantineFile('ipxwersv.dllatmstat.dll','');
QuarantineFile('confbrw.dll','');
QuarantineFile('brwstat.dll','');
QuarantineFile('atmmgr32.dll','');
QuarantineFile('C:\Documents and Settings\Саша\Рабочий стол\dic.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winin48.sys','');
BC_DeleteSvc('VSSRpcSs');
BC_DeleteSvc('TapiSrvmnmsrvc');
BC_DeleteSvc('SwPrvRasAuto');
BC_DeleteSvc('RasAutoCOMSysApp');
BC_DeleteSvc('nod32pose');
BC_DeleteSvc('NetDDEAlerter');
BC_DeleteSvc('dmadminALG');
BC_DeleteSvc('aspnet_stateBITS');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winin48.sys');
DeleteFile('C:\WINDOWS\system32\blphcpbtj0e537.scr');
DeleteFile('atmmgr32.dll');
DeleteFile('brwstat.dll');
DeleteFile('confbrw.dll');
DeleteFile('ipxwersv.dllatmstat.dll');
DeleteFile('vb5dmspo.dll');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 58
Спасибо! Мелькание синего экрана пропало, как и сообщение об ошибке. Большое спасибо!
Антивирус стоит Касперский. Ещё стоит Spybot S&D.
Блин, на ночь глядя вчера забыл об одной вещи.
Антивирь вчера не справился с 2 вещами:
1. обнаружено: потенциально опасное ПО Mass-Mailer software. Процесс C:\Windows\System32\svchost.exe
2. обнаружено: потенциально опасное ПО Invader. Процесс C:\Windows\System32\svchost.exe
Ни лечить, ни удалить он не смог.
Карантин прислал, логи прикрепляю
-
Spybot деисталировать
пофиксите
Код:
F2 - REG:system.ini: UserInit=userinit.exe,
O20 - Winlogon Notify: atmmgr - C:\WINDOWS\
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
O20 - Winlogon Notify: wstdactx - C:\WINDOWS\
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Anthill.exe','');
QuarantineFile('C:\Documents and Settings\Саша\Рабочий стол\dic.exe','');
BC_DeleteSvc('WmiFastUserSwitchingCompatibility');
BC_DeleteSvc('RDSessMgrclr_optimization_v2.0.50727_32');
BC_DeleteSvc('PolicyAgentShellHWDetection');
BC_DeleteSvc('nod32poseNetDDEAlerter');
BC_DeleteSvc('nod32p');
DeleteFile('C:\WINDOWS\system32\nod32p.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
Junior Member
- Вес репутации
- 58
Всё выполнено.
В логах что-нибудь ещё осталось?
-
Пофиксите в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: (no name) - - (no file)
.
Повторите hijackthis.log
Я бы Вам порекомендовал отключить Восстановление системы, а потом включить, так как большая вероятность того, что в точках восстаноления могут быть враги.
-
Junior Member
- Вес репутации
- 58
Сделано.
Восстановление системы отключено.Только я не понял, когда его обратно врубить? или так и оставить выключенным?
-
Можете включить Восстановление системы, если больше проблем не наблюдается.. Включать можно после того - когда от врагов избавились, что бы создать чистую точку восстановления.
-
Junior Member
- Вес репутации
- 58
Понятно. Ну, по логам ещё какие-нибудь гадости есть?
-
-
-
Junior Member
- Вес репутации
- 58
Спасибо большое! За всё!
Если ещё когда-нибудь что-то случится *тьфу-тьфу-тьфу* обязательно обращусь к вам. Спасибо, удачи вам во всём.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения вредоносные программы в карантинах не обнаружены
-